StravaLeaks : 7 km de jogging, un porte-avions localisé

Selon France Info (20 mars 2026), un jeune officier de la Marine nationale a révélé la position du porte-avions Charles-de-Gaulle en enregistrant un footing de 7 km sur l’application Strava. Le navire se trouvait au nord-ouest de Chypre, à une centaine de kilomètres des côtes turques, en pleine mission liée aux tensions entre les États-Unis, Israël et l’Iran. 37 minutes de course, un profil public, et la position d’un bâtiment de guerre nucléaire était accessible à quiconque savait chercher.

Un problème qui ne date pas d’hier

L’incident du 13 mars 2026 n’est pas un cas isolé. Comme le rapporte le Journal du Geek, Le Monde avait déjà documenté une série d’enquêtes « StravaLeaks » à l’automne 2024. Ces investigations avaient permis de localiser les équipes de protection des présidents français, américain et russe grâce aux données sportives de leurs gardes du corps. En janvier 2025, des sous-mariniers avaient involontairement révélé le calendrier des patrouilles de sous-marins nucléaires.

Plus de 450 utilisateurs de Strava liés à l’armée ont été identifiés sur la dernière décennie. Malgré les alertes répétées — y compris celles de l’armée américaine dès 2018 — les mêmes erreurs se reproduisent. L’état-major a indiqué que l’activité n’était « pas conforme aux directives en vigueur ». Directives qui, visiblement, ne suffisent pas.

Vos employés aussi partagent leur position

Si un officier de marine, formé aux protocoles de sécurité, peut exposer la localisation d’un porte-avions nucléaire avec une montre connectée, posez-vous une question simple : que partagent vos collaborateurs sans le savoir ?

Les données de localisation ne transitent pas uniquement par les applications de sport. Votre CRM mobile enregistre les positions des commerciaux. Les applications de pointage géolocalisé tracent les déplacements de vos équipes terrain. Google Maps Timeline conserve un historique complet des trajets de quiconque a un compte Google sur son téléphone professionnel. Slack et Teams peuvent afficher le fuseau horaire en temps réel.

Aucune de ces applications n’a été conçue pour nuire. Elles collectent ces données pour fonctionner ou pour « améliorer l’expérience utilisateur ». Le problème n’est pas l’intention — c’est l’absence de visibilité. Si vous ne savez pas quelles applications collectent quoi, vous êtes dans la même situation que la Marine nationale avant chaque scandale Strava.

La question n’est pas « interdire Strava »

La réaction réflexe serait d’interdire les applications problématiques. C’est ce que tentent les armées depuis 2018, avec le succès qu’on connaît. Interdire ne fonctionne pas. Ce qui fonctionne, c’est une politique de données claire, écrite et appliquée.

Concrètement, pour une PME, cela commence par un inventaire. Quels outils collectent des données de localisation ? Quels collaborateurs ont un téléphone professionnel avec des applications personnelles qui accèdent au GPS ? Où sont stockées ces données — en France, en Europe, aux États-Unis ?

Le RGPD est explicite sur ce point : la géolocalisation est un traitement à risque. Si votre entreprise collecte ou laisse collecter des coordonnées GPS via des outils tiers, vous devez le documenter. Et si le traitement est systématique, une analyse d’impact (AIPD) peut être obligatoire. C’est d’ailleurs un volet que la directive NIS2 renforce pour les entreprises de plus de 50 salariés.

Checklist : reprendre le contrôle

Voici les actions concrètes que toute PME peut mettre en place sans budget dédié :

• Inventorier les applications installées sur les appareils professionnels et vérifier lesquelles accèdent à la localisation
• Désactiver le partage de position par défaut sur les outils qui ne le nécessitent pas pour fonctionner
• Rédiger une politique de données interne — même un document d’une page vaut mieux que rien
• Sensibiliser les équipes sur la différence entre un profil public et un profil privé sur les applications grand public
• Évaluer des alternatives auto-hébergées pour les outils qui traitent des données sensibles — la maîtrise de vos données passe aussi par le choix des outils

Notre conviction

L’affaire StravaLeaks est spectaculaire parce qu’elle implique un porte-avions nucléaire. Mais le mécanisme sous-jacent est banal : une application collecte des données, un utilisateur ne configure pas ses paramètres de confidentialité, et des informations sensibles se retrouvent accessibles publiquement.

Ce mécanisme se reproduit chaque jour dans des milliers de PME. Pas avec des porte-avions, mais avec des positions de commerciaux, des déplacements de dirigeants, des habitudes de travail. La collecte de données de localisation par les outils SaaS n’est pas un sujet militaire — c’est un sujet d’hygiène numérique pour toute organisation.

Chez LeCollectif, nous accompagnons les PME qui veulent reprendre le contrôle : auditer les outils en place, mettre en œuvre des alternatives respectueuses de la souveraineté des données, et construire une politique de données qui tient la route. Pas parce que la loi l’impose — mais parce que vos données méritent mieux qu’un profil Strava public.

Sources : France Info, « La position confidentielle du porte-avions Charles-de-Gaulle révélée par l’application Strava », 20 mars 2026 ; Journal du Geek, « Strava localise le porte-avions Charles-de-Gaulle en Méditerranée, et c’est un vrai problème », 20 mars 2026.